(UN)Sicherheiten der veschiedenen TAN-Verfahren zum Online-Banking (23.10.2015)

Online-Banking erfordert zurecht die Bestätigung einer Transaktion durch eine TAN (Transaktionsnummer), die unabhängig von der PIN (Persönliche Identifikationsnummer) zum Einsatz kommt. Somit soll sichergestellt werden, dass alles mit rechten Dingen zugeht. Leider sind nicht alle TAN-Verfahren sicher genug und es könnte auf dem Bank-Kontoauszug u.U. so aussehen wir in der linken Grafik dargestellt, indem beispielsweise eine Überweisung bzgl. des Betrages und des Empfängers manipuliert wurde (und plötzlich fehlen EUR 10.000,--...). Nach den jüngsten Betrugsfällen um die mTAN, wurde nun auch die App-TAN demontiert. Wir beschreiben deshalb nachstehend die unterschiedlichen Verfahren mit ihren Vor- und Nachteilen sowie Sicherheitsrisiken: Weiterlesen...

Vorratsdatenspeicherung erneut präsent (16.10.2015)

Das anlasslose Massen-Protokollieren von Nutzerdaten wurde heute vom Parlament verabschiedet. Ein trauriger Tag für die Demokratie und Freiheit. Somit sind wieder ALLE Bürger verdächtig! Wir wollen uns nicht wiederholen und verzichten deshalb hier auf eine Beschreibung des Sachverhalts der Verfassungsunrecht- mässigkeit und verweisen auf den bereits vorhandenen Artikel zu diesem Thema, der den Hintergrund erschöpfend beschreibt: Beitrag: Wehren Sie sich gegen staatliche Schnüffelei (vom 05.05.2015)

Neue Lücke im Android Mediaserver (18.08.2015)

Im Android-Mediaserver klafft nicht nur die bereits bekannte Sicherheitslücke zur Stagefright-Schwachstelle, sondern ist auf weitere Weise angreifbar. Das Sicherheitsleck mit der Kennung CVE-2015-3842 steckt in der AudioEffect-Komponente und ermöglicht wie beim Stagefright-Problem das Ausführen von Angreifer-Code mit den Rechten des Mediaservers, was zur Übernahme der Kontrolle über die Kamera und das Mikrofon führen kann. Betroffen sind die Android-Versionen 2.3 bis 5.1.1, sprich rund 99,7 % aller im Umlauf befindlichen Geräte. Bisher soll es zu keinen Übergriffen gekommen sein aber die Lücke ist erst gestern bekannt geworden. Die ersten Angriffe werden wohl kaum lange auf sich warten lassen. Weiterlesen...

Stagefright-Lücke in Android wird aktiv ausgenutzt (06.08.2015 | Update 10.08.2015)

Die seit der letzten Woche bekannte Lücke im Open-Source-Mediaplayer Stagefright, welche rund 95 % aller Android-Geräte betrifft, wird aktiv ausgenutzt, sprich es kursieren bereits Exploits in freier Wildbahn. Der Schadcode kann per MMS (Multimedia Messaging Service) kommen - aber es sind auch andere Szenarien* möglich, weil viele Apps Stagefright zum Abspielen von Multimedia-Inhalten verwenden - und hat dann ungehinderten Zugriff auf die Kamera, das Mikrofon und auf Fotos u.s.w.! Weiterlesen...